我想知道我发现的所有地方是否都FF FF FF FF表明那里有一个 MFT 块。因为他们在这里说:
您可以非常清楚地看到文件标记的 0xFFFFFFFF 结尾,它标志着新 MFT 条目的结束(字节偏移量 504)。
问问题
1059 次
1 回答
3
不完全是。所有 MFT 条目都与磁盘扇区大小的倍数的簇或文件记录大小对齐。通常 MFT 中的文件记录是 1024 字节长,文件记录的大小和到 MFT 的偏移量存储在卷的第一个扇区中,称为NTFS bios parameter block。您可以在此处找到 ReactOS 源代码中的结构。
所有 MFT 文件条目在偏移量 0 处都有一个幻数(例如 FILE 或 BAAD)。MFT 的确切大小可以通过解析 MFT 的第一个文件记录的属性来获得,即 MFT 本身。一个未命名的非常驻数据属性包含整个 MFT 的大小以及它在磁盘上的片段的数据运行。
文章谈到的 0xFFFFFFFF 位于 last 属性的 type 字段中,表示文件记录属性的结尾。由于其他文件可能包含它,因此解析此值将浪费时间且不完全准确。
于 2015-05-14T11:01:41.947 回答